YZM5604 Bilgi Güvenliği Yönetimi 30 Eylül 2014 Dr. Orhan Gökçöl Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Bilgi Teknolojileri Yüksek Lisans Programı Dersin Ana Amacı... (Bilgisayarlarda, ağ üzerinde ya da konvansiyonel olarak) tutulan ve dolaşan her türlü bilginin korunması için neler yapılmalı? sorusuna cevap arayacağız Şirketler tarafından değer atfedilen her şey: Sunucu Paket programlar Sözleşmeler Müşteri bilgileri Tasarımlar Fiziksel varlıklar İnsan varlıkları Ticari sırlar.. Bilgi güvenliği ana unsurları Bilgi varlıkları ve sınıflandırılması Bilgiye saldırı teknikleri Bilgi Güvenliği politikaları BİLGİ Risk Analizi İhlal Olayları Yönetimi İş Sürekliliği Yönetimi Hukuki konular Bilgi Güvenliği Yönetimi Organizasyonu Bilgi güvenliği ile ilgili kural ve prosedürler, standartlar (ISO27001) 1
Ders ile İlgili Önemli Bilgiler Ders saatleri : Salı, 19:00-22:00 (Beşiktaş/DSC02) İletişim : Orhan Gökçöl Orhan.Gokcol@eng.bahcesehir.edu.tr 212 381 0 559 Ders Devamı : --- Ders Kitabı John J. Fay, «Contemporary Security Management" (2011), Elsevier, ISBN 978-0-12-381549-1 Almanız gerekmiyor. Ders notları her hafta ders web sitesine konacak 2
Diğer Kaynaklar Belirli bir ders kitabımız yok ISO27001 İle İlgili Kaynaklar Ders Notları Çeşitli İnternet Bağlantıları Diğer kaynak kitaplar için ders içerik sayfasına bakınız. Ders Kaynakları Ders Destek Web Sitesi : http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 -Duyurular ve Hertürlü İletişim -Ders Notları -Ödevler/Projeler -Sınav Sonuçları -Dersle İlgili Sizinle Paylaşacağım hemen herşey 3
Ders Değerlendirme Yaklaşık 4.cü hafta civarında projeler dağıtılacak Ders İçeriği 4
Güvenlik Nedir? Tehlikelerden uzak, güvenli bir yapıda olma durumu Düşmanlardan korunmak!!! Güvenlik konusunda başarılı olmak isteyen bir organizasyon çok seviyeli bir güvenlik sistemini devreye almak zorunda: Fiziksel güvenlik Personel güvenliği Operasyon güvenliği Haberleşme güvenliği Ağ güvenliği İş sürekliliği... Bilgi Güvenliği Nedir? Günümüzdeki anlamıyla Bilgi Güvenliği, güvenlik riskleri ile bunların oluşmamasını sağlayacak kontrol mekanizmalarının dengeli bir şekilde oluşturulması amacıyla oluşturulan, iyi geribeslemesi olan bir güvence sistemidir. Jim Anderson, Inovant (2002) Visa Company 5
Bilgi Güvenliği Tanımı - Wikipedia Bilgi güvenliği, her türlü varlığın ve bu varlıklara ait verinin yetkisiz kişilerce erişilmesi, kullanılması, ifşa edilmesi, yok edilmesi, değiştirilmesi, karıştırılması/bozulması eylemlerini engellemek için yapılan her türlü faaliyettir. Güvenlik ekstrem durumlar Açık bir ortamda yer alan bir sistem herkes tarafından, ağ üzerinden erişilerek kolayca kullanılabilir. Temel olarak bu, güvenliksiz bir durumu gösterir (örnek : İnternet Kafe) Penceresi olmayan, 1 metre kalınlığında beton ve metal duvarla örülü bir odada tutulan ve sadece pil ile çalışan bir sistem. Kapısında 24 saat güvenlik var. Tüm bilgi şifreli olarak tutuluyor. İçeri girmek isteyen kişi aşırı bir güvenlik prosedürü ile girebiliyor!! (örnek: askeri güvenlik) 6
Güvenliğin Maliyeti Güvenlik Geliştirme maliyeti Geliştirme zamanı Ekipman maliyeti Bakım maliyeti Kullanılabilirlik? İşlevsellik? Performans? Figure 1-6 Balancing Security and Access BG Sorumlusu: Şifreleme zaman alır, ama gereklidir! Kullanıcı 1: Parolamı bu kadar sık değiştirmek zaman kaybı! Kullanıcı 2:Daha hızlı erişim istiyorum!!! Güvenlik Kullanım Güvenlik ve Erişimin Dengelenmesi Principles of Information Security - Chapter 1 Slide 14 7
Bilgi Güvenliği Nedir? Bilginin ve bilgiye ait kritik sistemlerin (bilgiyi saklayan, ileten ve kullanımını sağlayan donanımlar ve sistemler de dahil olmak üzere) korunması Politikalar ve prosedürler oluşturmak, bilgi güvenliği konularında duyarlı olmak, eğitim ve teknoloji kullanımıyla bilgi güvenliği belli ölçülerde tahsis edilebiliyor C.I.A üçgeni (C.I.A. triangle) bu konuda standarttı. Üç önemli bileşen : Gizlilik (Confidentiality), tamlık (Integrity), kullanılabilirlik (Availability) Bilgi Güvenliği? Bilgi, sisteminin özellikleri arasındadır. Sadece teknolojik altyapı olarak nitelendirilemez. CIA Gizlilik/Mahremiyet (Confidentiality): sadece izin verilen kişi/unsur lar bilgiyi görebilir Bütünlük/Tamlık/Doğruluk (Integrity): sadece izin verilen kişi/unsur lar bilgiyi değiştirebilir (bilgi oluşturma ve silme de dahil) Kullanılabilirlik (Availability): ihtiyaç duyulduğunda bilgi hazırdır, kullanılabilir Mainframe zamanından kalma!! 8
Bilgi Devrimi 21.ci yüzyıl => «Bilgi Çağı» Bilginin değeri göreceli bir şekilde sürekli artabiliyor Kritik bilginin korunması hem iş dünyası, hem hükümetler hem de akademik ortalmalr için (herkes için!) çok önemli Farklı bir İnternet Ordular harekete geçebilir/nükleer silahlar patlayabilir İşletmeler iflas edebilir/batabilir Bireyler tüm kişisel bilgilerini çaldırabilir Askeri yapılar, politik örgütler ve de suç örgütleri bu ve benzeri tehditlerin kaynağı olabilirler. 9
Terimler Hızlı Bir Bakış Bilgisayar Aşağıdaki unsurların bir araya gelmesi ile oluşan yapı Merkezi İşlem Birimi (CPU): Komutların işletilmesi Hafıza(RAM) : Verileri geçici olarak saklanmasını sağlayan alan Disk: Verilerin kalıcı olarak saklanmasını sağlayan alan Monitör/Ekran: Görüntüleme cihazı Printer/Yazıcı: Bilginin kağıt ortamına aktarılmasını sağlar Ağ kartı: Bilgisayarlar arası iletişimi sağlayan elektronik devre Terimler Hızlı Bir Bakış Yazılım/Software: Instructions for a computer İşletim Sistemi/Operating System: interaction among components of computer Uygulama yazılımı/application software: common tasks (e.g., email, word processing, program construction, etc.) Uygulama Geliştirme Arabirimi/API/Libraries: Support for common tasks 95752:1-20 10
Bilgi, Veri ve Yararlı Bilgi Bilgi güvenliği ve Bilgi Teknolojilerinde kullanılan terimlerin pek çoğu, birbirine yakın anlamlar içerebilir ve biri diğerinin yerine kulanılabilir. Bu yüzden, ders kapsamında kullanacağımız bazı «yakın» kavramların tanımlanmasına ihtiyaç var: Data (Veri) bilginin ham hali. Information (Bilgi), belli bir amaç doğrultusunda toplanmış ve şekil verilmiş, durağan veri. Knowledge (Yararlı/İşlenmiş Bilgi, Malumat) Bilgiden ortaya çıkartılır. Bilginin organize edilmiş ve belli durumu açıklayan bir hale dönüşmesi (yorumlanması) olarak ifade edilebilir. Şirketler; çalışanları, ekipmanları ve birtakım tesislerini kaybetseler de (küçülerek vb) hayatta kalabilirler. Ancak, çok azı müşteri verileri, süreç ve tasarım bilgileri, hesap kayıtları gibi varlıklarını kaybettiklerinde hayatlarını sürdürebilir. Çalışmalar göstermiştir ki, bir şirketin sahip olduğu bilgiler, pek çok durumda, o şirketin en kritik varlığıdır. Gartner Group (2009) araştırmasına göre, Bir felaket yüzünden, veri işleme merkezleri 10 gün ya da daha fazla süreyle kapalı kalan şirketlerin %93 ü takip eden 1 yıl içinde iflas etmişlerdir. Aynı koşullar altında, veri işleme yeteneklerini tamamen yitiren şirketlerin %50 si hemen iflas etmişlerdir. 11
Güvenlikle ilgili bazı terimler/ Security Terms Vulnerability (Saldırıya açık olma) - istismar edilmeye müsait bir zaafiyet Attack (Saldırı) - insan kaynaklı sızma Threat (Tehdit)- açıkların ortaya çıkma potansiyeli/ potential for exposure Control (Güvenlik Kontrolü)- koruma ölçüsü/ preventative measure Güvenliği sağlamak neden zordur? Yöneticiler, bazı durumlarda, BT ile ilişkilendirilmiş verilerin gerçek değerinden habersiz olabilirler Dış dünyaya karşı imajı koruma çabası, bunun zarar göreceği yaklaşımı/damage to public image Yasal tanımlar, sıklıkla, çok açık olmayabiliyor Adli takip zor Pek çok teknik unsur içerir 12
Güvenliğin Hedefleri Confidentiality/Gizlilik Bilginin sadece yetki verilmiş kullanıcıların erişimine açık olması Integrity /Bütünlük Bilginin, ifade ettiği/tanımladığı şeylerle ilgili gerekli tüm bileşenleri içermesi ve anlamlı olması Availability /Kullanılabilirlik Bilginin mevcudiyetinin sürekli olması ve erişime açık bulunması Bunların önem derecesi şirketten şirkete değişmekle birlikte her üçü de BG açısından önemlidir. Sayısal dünya ve BG nin Önemi İnternet olarak adlandırdığımız, birbirine bağlı unsurlardan oluşan büyük bir dünyada yaşıyoruz. Viruses, trojans DoS saldırıları Phising / Oltaya takılma Fraud /Sahtekarlık... 13
Internet in the World (2010) Statistics are taken from Source: http://www.internetworldstats.com/stats.htm 2014 deki durum!!!! 14
Total Sites Across All Domains http://internetstatstoday.com/ 15
16
2013-PWC Araştırması (İngiltere) 17
Bu sayılardan ne anlamalıyız? Bir ağ ortamında yaşıyoruz dijital dünya. Her sene artan miktarlarda potansiyel saldırı tehditleri var. Bunun anlamı => Bilgi Güvenliği (BG) çok daha ciddi olarak ele alınmalı! Internet ve Güvenlik? İnternet in iletişim protokolleri ve teknik altyapısı ilk tasarlandığında, sanırım hiç kimse Hizmet Dışı Bırakma (HDB Denial of Service DoS) saldırılarını aklına getirmemiştir (1989 yılına kadar!!!! Internetin ilk zamanlarında sadece birkaç tipte uygulama (dosya transferi, e-posta gibi) düşünülmüştü hiç kimse e-ticaret, VoIP, IPTV, vb. gibi uygulamaları aklına bile getirmemişti! Sonuçta, internet güvenliği çok sonraları devreye alınan birtakım değişiklikler sonunda «konuşulabilir» hale geldi. 36 18
Bilgi Güvenliği ve Ağ Güvenliği ( Network Security) Birbirleriyle ilişkili BG daha genel bir kavram Ağ güvenliği daha çok ağ haberleşmesine olan tehditlerle ilgilenir BG ise şirketin sahip olduğu ve para karşılığı olan tüm varlıklarına olan tehditlerle ilgilidir. Saldırı istatistikleri Stats 1.8M+ web sitesi hack-lenmiş! (şu ana kadar!!) Günde 1000+ site (!!) Neden önemli? Hangi ürünler? Hangi alan adları? Hangi yöntemlerle? 19
Web Hacking Saldırıları Veritabanı http://www.xiom.com/ - 1999 dan günümüze, bilinen tüm saldırıara ait kayıtlar - Saldırılar tiplerine göre gruplanmış durumda İşletim sistemleri (2006)? First week of October 2008 20
En meşhur örneklertwitter hack 2009 august A hack from Turkish hackers.. February 2010 hiddencloak.com a popular web proxy 21
MasterCard, Aralık 2010 Bank of America, Mart 2011 Sony, Nisan 2011 Tunus Hükümeti, Ocak 2011 AP Twitter Hesabı, Nisan 2013 22
MEB okulweb June 2010 ABD Adalet Bakanlığı - 1995 23
Central Intelligency Agency (CIA) Başbakanlık... 24
Türk Telekom... 25
Baklan Kaymakamlığı (Denizli); 2008, Feb 10 26
Başbakanlık Eylül 2007 http://www.pwc.com/en_us/us/increasing-it-effectiveness/publications/assets/us-state-of-cybercrime.pdf 27